Wi-Fi WPA3-säkerhet har många fördelar, men behåller en stor sårbarhet

Få människor är alltför bekymrade över Wi-Fi-säkerhet, ansluter gärna till offentliga trådlösa nätverk och gör lite för att ens skydda sina egna hemnätverk. Så länge den har ett lösenord tror vi att vi är säkra.

Som vanligt är det aldrig så lätt att hålla sig säker som det verkar. Lösenordsskydd är en del av ett system som kallas Wi-Fi Protected Access, eller WPA, som är på väg att bli säkrare i form av WPA3. Trots de förbättringar det medför kommer WPA aldrig att bli en silverkula.

Det finns några allvarliga brister i den som har funnits sedan den allra första WPA initierades. Tills vi möter dem kommer våra trådlösa nätverk alltid ha ett gapande hål i skyddsväggen.

Dräpar drakar

Lösenords- och krypteringsskydd var en viktig punkt i WPA2:s skapande och spridning och har säkerställt att de flesta av oss förblir säkra när vi ansluter vår myriad av moderna enheter till Wi-Fi nätverk. Men WPA2 har allvarliga brister som WPA3 designades för att fixa.

Där WPA2 använder en fördelat nyckelutbyte och svagare kryptering uppgraderar WPA3 till 128-bitars kryptering och använder ett system som heter Simultaneous Authentication of Equals (SAE), i vardagsspråket känt som Dragonfly-handskakning. Det tvingar fram nätverksinteraktion på en potentiell inloggning, vilket gör det så att hackare inte kan försöka hacka en inloggning via ordbok genom att ladda ner dess kryptografiska hash och sedan köra crackingprogramvara för att bryta den, låta dem sedan använda andra verktyg för att snoka på nätverket aktivitet.

Men Dragonfly och själva WPA3 är också sårbara för sina egna farliga brister och några av de värsta har funnits i WPA-skyddade nätverk sedan de startade. Dessa bedrifter har samlats in under bannernamn för Dragonblood och om de inte åtgärdas kan de betyda att WPA3 inte är så mycket säkrare än WPA2, eftersom metoderna som används för att kringgå dess skydd inte riktigt har förändrats.

Det finns sex problem som Mathy Vanhoef lyfte fram i hans Dragonblood-exponering, men nästan alla av dem är möjliga av en urgammal Wi-Fi-hackningsteknik som kallas en ond tvilling.

Ni ser så lika ut...

"Den största bristen som har funnits inom Wi-Fi i 20 år är att ni, jag, min syster (som inte är teknisk) alla kan starta en ond tvillingattack bara genom att använda våra mobiltelefoner." WatchGuard Technologies Direktör för produktledning, Ryan Orsi, berättade för Digital Trends. "[Låt oss säga] att du har en smartphone och ta upp den ur fickan, gå in på kontoret och den har ett WPA3 lösenordsskyddat Wi-Fi-nätverk. Du tittar på namnet på det Wi-Fi-nätverket […] om du ändrar din telefons namn till [samma namn] och du slår på din hotspot, har du precis inlett en ond tvillingattack. Din telefon sänder exakt samma Wi-Fi-nätverk."

Även om användare som ansluter till ditt falska, onda tvillingnätverk ger bort mycket av sin information genom att använda den, försvagar de potentiellt deras säkerhet ännu mer. Denna attack skulle kunna utföras med en smartphone som bara stöder WPA2. Även om det potentiella offret kan stödja WPA3 på sin enhet, har du effektivt nedgraderat dem till WPA2 tack vare WPA3:s bakåtkompatibilitet.

Det är känt som WPA3-övergångsläge och låter ett nätverk använda WPA3- och WPA2-skydd med samma lösenord. Det är bra för att uppmuntra upptagandet av WPA3 utan att tvinga människor att göra det omedelbart, och rymmer äldre klientenheter, men det är en svag punkt i den nya säkerhetsstandarden som lämnar alla sårbar.

"Du har nu startat början på en drakblodsattack", fortsatte Orsi. "Du tar in en ond tvillingåtkomstpunkt som sänder en WPA2-version av Wi-Fi-nätverket och offrets enheter vet inte skillnaden. Det är samma namn. Vad är den legitima och vilken är den onda tvillingen? Det är svårt för en enhet eller människa att säga.”

Men WPA3:s övergångsläge är inte dess enda svaga punkt för potentiella nedgraderingsattacker. Dragonblood täcker också en nedgraderingsattack av säkerhetsgrupper som gör att de som använder en ond tvillingattack kan avslå initiala förfrågningar om WPA3-säkerhetsskydd. Klientenheten kommer sedan att försöka ansluta igen med en annan säkerhetsgrupp. Det falska nätverket kan helt enkelt vänta tills ett anslutningsförsök görs med otillräcklig säkerhet och acceptera det, vilket försvagar offrets trådlösa skydd avsevärt.

Som Orsi betonade, har onda tvillingattacker varit ett problem med Wi-Fi-nätverk i mer än ett decennium, särskilt offentliga där användare kanske inte är medvetna om namnet på nätverket de planerar att ansluta till före tiden. WPA3 skyddar inte mycket mot detta, eftersom problemet inte är tekniskt sett i själva tekniken, utan i användarens förmåga att skilja mellan legitima och falska nätverk. Det finns ingenting i enhetens Wi-Fi-menyer som tyder på vilka nätverk som är säkra att ansluta till och vilka som inte är det.

Enligt Dragonblood författare, Mathy Vanhoef, Det kan kosta så lite som 125 USD av Amazon AWS-datorkraft – att köra en mjukvara för lösenordsknäckning – för att avkoda lösenord med åtta tecken, små bokstäver, och det finns massor av tjänster som till och med kan visa sig vara mer konkurrenskraftiga än den där. Om en hacker sedan kan stjäla kreditkorts- eller bankinformation är den investeringen snabbt återbetald.

"Om den onda tvillingen är där, och ett offer ansluter till den, dyker stänksidan upp. Splash-sidan på en ond tvilling kommer faktiskt från angriparens bärbara dator, säger Orsi till Digital Trends. "Den här startsidan kan ha skadlig Javascript eller en knapp och 'klicka här för att godkänna, ladda ner den här programvaran för att ansluta till denna hotspot'."

Håll dig säker genom att vara säker

"[WPA-säkerhet] problem kommer inte att lösas förrän den allmänna konsumenten kan se på sin enhet istället för lite hänglås betyder lösenordsskyddat, det finns någon annan symbol eller visuell indikator som säger att detta inte är en ond tvilling," Orsi sa. "[Vi borde] erbjuda människor en visuell symbol som har starka tekniska rötter men de behöver inte förstå den. Det borde stå att det här är den du kan lita på. Boka ditt hotell med ett kreditkort på detta Wi-Fi eftersom det är det rätta."

Ett sådant system skulle kräva att IEEE (Institute of Electrical and Electronics Engineers) ratificerar det som en del av en ny Wi-Fi-standard. Wi-Fi Alliance, som äger upphovsrätten till "Wi-Fi", skulle då behöva besluta om ett emblem och skicka ut uppdateringen till tillverkare och programvaruleverantörer för att kunna använda den. Att göra en sådan förändring av Wi-Fi som vi känner det skulle kräva ett enormt åtagande från många företag och organisationer. Det är därför Orsi och WatchGuard vill anmäla folk för att visa sitt stöd för idén om ett nytt, pålitligt trådlöst system som ger en tydlig visuell indikator för att hjälpa människor att vara säkra på Wi-Fi-nätverk.

Tills något sådant händer finns det fortfarande några åtgärder du kan vidta för att skydda dig själv. Det första rådet som Orsi gav oss var att uppdatera och korrigera allt – speciellt om det lägger till WPA3-säkerhet. Så mycket som det är felaktigt, är det fortfarande mycket bättre än WPA2 – det är därför så många av Dragonblood-attackerna fokuserar på att nedgradera säkerheten där det är möjligt.

Det är något som Malwarebytes Jean-Philippe Taggart också berättade för Digital Trends. Hur bristfällig WPA3 än kan vara, det är fortfarande en uppgradering. Det är oerhört viktigt att se till att alla WPA3-enheter du använder kör den senaste firmware. Det kan hjälpa till att mildra några av de sidokanalsattacker som fanns i tidiga WPA3-utgåvor.

Om du är en vanlig användare av offentliga Wi-Fi-nätverk (eller även om du inte är det) rekommenderar Orsi också att du vidtar åtgärder för att använda en VPN, eller virtuellt privat nätverk (så här ställer du in en). Dessa lägger till ett extra lager av kryptering och fördunkling till din anslutning genom att dirigera den genom en tredjepartsserver. Det kan göra det mycket svårare för lokala angripare att se vad du gör online, även om de lyckas få tillgång till ditt nätverk. Det döljer också din trafik från fjärrangripare och möjligen alla trebrevsbyråer som kan titta på.

När det gäller att säkra ditt Wi-Fi hemma rekommenderar vi också ett starkt nätverkslösenord. Ordboksattackerna och brute force-hack som möjliggjorts av många av Dragonblood-exploaterna är värdelösa om ditt lösenord är komplicerat, långt och unikt. Lagra det i en lösenordshanterare om du inte är säker på att du kommer ihåg det (dessa är de bästa). Byt det sällan också. Du vet aldrig om dina vänner och familj har varit så säkra med ditt Wi-Fi-lösenord som du har varit.

Redaktörens rekommendationer

• Denna Wi-Fi-säkerhetsbrist kan låta drönare spåra enheter genom väggar